Nel 2025, l'INCIBE ha gestito 122.223 incidenti di cybersecurity in Spagna, il 26% in più rispetto all'anno precedente, secondo il Bilancio della Cybersecurity 2025 pubblicato dall'ente nel febbraio 2026. In questo contesto, sapere come scegliere un'azienda di cybersecurity non è più una decisione tecnica da delegare al reparto IT: è una decisione di business con impatto diretto sulla continuità operativa, la reputazione e la conformità legale dell'organizzazione. Sbagliare fornitore non significa solo pagare troppo; significa scoprire, nel bel mezzo di un incidente, che chi avrebbe dovuto difendervi non era preparato a farlo.
Questo articolo è una guida pratica per responsabili tecnologici, direzione generale e responsabili acquisti che devono valutare e selezionare un partner di sicurezza in Spagna. Non parleremo di marketing né di promesse: parleremo di certificazioni verificabili, di criteri di valutazione oggettivi, del quadro normativo che condiziona la decisione e dei segnali d'allarme che dovrebbero portarvi a scartare un candidato prima di firmare qualsiasi cosa.
Perché la scelta del fornitore di cybersecurity è oggi una decisione di business
Per anni, contrattare la sicurezza informatica assomigliava all'acquisto di un antivirus: una spesa tecnica, quasi di manutenzione, che si risolveva con l'offerta più economica. Quell'epoca è finita. I dati dell'INCIBE stesso descrivono uno scenario in cui la minaccia è massiccia e sistematica, non episodica.
Nel Bilancio della Cybersecurity 2025, il malware ha guidato la tipologia di incidenti con 55.411 casi, seguito dalla frode online con 45.445, all'interno della quale il phishing è stata la tecnica dominante con 25.133 incidenti registrati. Il servizio gratuito di assistenza "Tu Ayuda en Ciberseguridad" (linea 017) ha risposto a 142.767 richieste nell'arco dell'anno, il 44,9% in più rispetto al 2024. Non si tratta solo di un aumento degli attacchi: è che un numero crescente di aziende e cittadini li subisce e necessita di aiuto urgente.
Il dato rilevante per chi decide è l'asimmetria. Un attaccante deve avere successo una sola volta; il vostro fornitore deve riuscirci sempre. Quando l'INCIBE-CERT ha rilevato e notificato 237.028 sistemi vulnerabili rilevanti potenzialmente sfruttabili nel corso del 2025, stava descrivendo la superficie di esposizione reale delle organizzazioni spagnole. Se il vostro partner di sicurezza non è in grado di scoprire, prioritizzare e correggere le vulnerabilità a quella scala, il suo contratto vale ben poco.
A ciò si aggiunge una buona notizia: c'è ampia scelta. Secondo lo Studio sull'Industria della Cybersecurity in Spagna 2025, elaborato da INCIBE e CONETIC e presentato nel marzo 2026, la Spagna conta 3.431 aziende di cybersecurity — il 4,47% delle società tecnologiche del Paese —, un settore che ha fatturato 6.351 milioni di euro nel 2024 e impiega circa 165.000 professionisti, il 25,5% dell'occupazione ICT spagnola. La Spagna è inoltre il quarto mercato europeo di cybersecurity, con il 12% del fatturato continentale, e il settore prevede una crescita media annua del 14,25% tra il 2026 e il 2029.
La conclusione è scomoda: l'offerta è enorme ed eterogenea. Ci sono dai grandi system integrator alle società di consulenza di nicchia e ai rivenditori che apportano scarso valore aggiunto. Avere 3.431 fornitori tra cui scegliere non semplifica la decisione, la complica. Ecco perché è necessario un metodo.
Quali certificazioni deve possedere un'azienda di cybersecurity affidabile (ENS, ISO 27001, ENAC)?
La prima barriera oggettiva e verificabile per scartare i candidati riguarda le certificazioni. Non sono un sigillo decorativo: sono la prova che un terzo indipendente ha verificato i processi del fornitore. In Spagna, tre riferimenti concentrano quasi tutto il dibattito serio.
ISO/IEC 27001: lo standard di gestione della sicurezza
La certificazione ISO/IEC 27001:2022 attesta che l'azienda gestisce un Sistema di Gestione della Sicurezza delle Informazioni (SGSI), non semplicemente che utilizzi buoni strumenti. La versione vigente del 2022 incorpora 93 controlli dell'Allegato A organizzati in quattro domini (organizzativo, persone, fisico e tecnologico). In Spagna, viene rilasciata da un ente di certificazione accreditato da ENAC (Entidad Nacional de Acreditación) in conformità alla norma ISO/IEC 17021-1, nell'ambito del sistema operato da organismi come AENOR.
Due dettagli che molti acquirenti trascurano:
- La certificazione si rinnova ogni tre anni e richiede audit di sorveglianza annuali. Un'azienda che vi mostra un certificato di quattro anni fa senza audit intermedio non è realmente certificata.
- Non conta solo che il fornitore sia certificato, ma il campo di applicazione dichiarato nel certificato. Una ISO 27001 il cui campo di applicazione copre unicamente "l'amministrazione interna" non copre il servizio che vi presteranno.
Se la vostra organizzazione punta a certificarsi — o a richiedere tale maturità al vostro fornitore — conviene comprendere nel dettaglio cosa implica il processo. Da Technova affrontiamo questo percorso nel nostro servizio di implementazione e certificazione ISO 27001, accompagnando il cliente dall'analisi dei gap fino all'audit finale.
Esquema Nacional de Seguridad (ENS): obbligatorio per chi lavora con il settore pubblico spagnolo
Il Real Decreto 311/2022, del 3 maggio, disciplina lo Schema Nazionale di Sicurezza (ENS). È di lettura obbligatoria se la vostra azienda presta — o intende prestare — servizi alla Pubblica Amministrazione spagnola, poiché in tal caso la conformità all'ENS cessa di essere facoltativa.
Il decreto stabilisce tre categorie di sicurezza con requisiti differenti:
| Categoria ENS | Forma di accreditamento | Quando si applica |
|---|---|---|
| Base | Dichiarazione di conformità per autovalutazione | Sistemi a impatto minore |
| Media | Certificazione formale da ente accreditato da ENAC | Impatto apprezzabile su servizi o dati |
| Alta | Certificazione formale da ente accreditato da ENAC | Impatto molto grave; servizi essenziali |
La distinzione è fondamentale nella valutazione dei fornitori: una dichiarazione di conformità per autovalutazione (categoria base) non equivale a una certificazione verificata da terzi (categorie media e alta). Se un fornitore vi dice che "rispetta l'ENS" senza precisare la categoria né chi lo ha certificato, approfondite. La differenza tra autovalutarsi ed essere certificati da un ente accreditato da ENAC è notevole.
Il ruolo di ENAC come garante
Sia per la ISO 27001 che per l'ENS di categoria media e alta, il nome che conferisce credibilità reale è ENAC. L'accreditamento ENAC garantisce che l'ente certificatore sia competente e imparziale. Un certificato rilasciato da un organismo non accreditato ha un valore di mercato molto inferiore. Verificate sempre che dietro il sigillo vi sia un ente accreditato da ENAC, non solo un logo.
Criteri di valutazione: SOC/MDR 24x7, esperienza settoriale e referenze verificabili
Superato il filtro delle certificazioni, si arriva alla parte che distingue un fornitore che difende davvero da uno che si limita a fatturare. Qui valutate le capacità operative reali.
Rilevamento e risposta continui: SOC e MDR 24x7
Gli attacchi non rispettano i vostri orari di lavoro. Molti vengono lanciati deliberatamente il venerdì sera, nei giorni festivi o ad agosto, quando i team interni sono ridotti al minimo. Per questo la capacità di rilevamento e risposta 24x7 è oggi il criterio che più distingue i fornitori seri dagli altri.
È utile distinguere i concetti:
- SOC (Security Operations Center): il centro operativo che monitora, correla eventi e rileva minacce in modo continuo.
- MDR (Managed Detection and Response): il servizio gestito che non si limita a rilevare, ma risponde e contiene l'incidente per vostro conto, con tempi garantiti contrattualmente.
La domanda chiave non è "avete un SOC?", bensì "cosa fate alle 3 di notte di una domenica quando scatta un'allerta critica?". Un fornitore maturo risponde con tempi di rilevamento e contenimento garantiti dal contratto (SLA), non con buone intenzioni. Se volete approfondire il funzionamento di questo tipo di servizio, lo descriviamo nella nostra pagina dedicata al SOC e MDR gestito 24x7.
Esperienza settoriale e allineamento con NIS2
Un fornitore che ha difeso aziende del vostro settore conosce le vostre minacce specifiche: proteggere un'industria manifatturiera con sistemi OT è molto diverso dal tutelare un istituto finanziario o un operatore di servizi essenziali. Tale esperienza si dimostra con casi concreti, non con frasi generiche.
Il dato dell'INCIBE rafforza l'importanza di questo punto: nel 2025, l'INCIBE-CERT ha gestito 401 incidenti nell'ambito di operatori essenziali e importanti, in linea con il quadro della Direttiva NIS2. Se la vostra azienda appartiene a uno dei settori interessati, avete bisogno di un partner che operi già secondo quella logica regolamentare, non di uno che la stia scoprendo insieme a voi.
Referenze verificabili, non testimonianze da brochure
Richiedete referenze e, soprattutto, verificatele. Non accontentatevi di loghi su un sito web. Chiedete di parlare con un cliente reale con un profilo simile al vostro, domandategli come ha risposto il fornitore durante un incidente concreto e verificate la continuità del rapporto. Un fornitore che ruota i clienti ogni anno ha un problema che prima o poi diventerà il vostro.
A titolo di sintesi, ecco i criteri di valutazione che raccomandiamo di ponderare:
| Criterio | Cosa verificare | Perché è importante |
|---|---|---|
| Copertura 24x7 | SOC/MDR con SLA di rilevamento e risposta | Gli attacchi non hanno orari |
| Certificazioni | ISO 27001 vigente e ENS (se applicabile), tramite ENAC | Prova di processi verificati |
| Esperienza settoriale | Casi nel vostro settore e conformità NIS2 se applicabile | Minacce specifiche, non generiche |
| Referenze | Clienti verificabili con profilo analogo | Evidenza, non marketing |
| Trasparenza | SLA, escalation e report scritti | Definisce cosa accade in caso di incidente |
| Team | Profili e rotazione del personale tecnico | La sicurezza la fanno le persone |
NIS2 e ENS: come il quadro normativo condiziona i fornitori che potete contrattare
Qui c'è un punto che molte aziende scoprono troppo tardi: la normativa non obbliga solo voi, condiziona anche quali fornitori sono validi.
La Direttiva NIS2 dell'Unione Europea amplia considerevolmente il numero di settori e soggetti obbligati a rispettare i requisiti di cybersecurity, classificandoli in entità "essenziali" e "importanti". Il termine comunitario per il recepimento era il 17 ottobre 2024, ma la Spagna non ha completato il proprio processo di trasposizione entro tale data. Per colmare questo vuoto, il Consiglio dei Ministri ha approvato nel gennaio 2025 il Progetto preliminare di Legge sul Coordinamento e la Governance della Cybersecurity, come comunicato dal Dipartimento di Sicurezza Nazionale (DSN) e analizzato da studi legali come ECIJA e associazioni come ASEPEC.
Quanto previsto da tale progetto di legge ha conseguenze dirette nella selezione del fornitore: obbligherà le entità essenziali a disporre di certificazione, e quelle importanti a certificarsi o a effettuare un'autovalutazione. In altri termini, se la vostra azienda rientra nell'ambito NIS2, non potrete esternalizzare la sicurezza a un fornitore che non sia in grado di dimostrare il livello di maturità che la legge vi richiederà.
L'intersezione con l'ENS è altrettanto rilevante. Se lavorate con la Pubblica Amministrazione spagnola e gestite sistemi di categoria media o alta, il RD 311/2022 richiede la certificazione da parte di un ente accreditato da ENAC. Combinando entrambi i quadri normativi, il messaggio per il committente è chiaro: verificate che la maturità certificabile del vostro fornitore sia pari o superiore a quella che la normativa vi richiede. Contrattare qualcuno al di sotto del vostro stesso livello di conformità trasferisce il rischio legale alla vostra organizzazione.
Per una visione integrata di come armonizzare conformità, rilevamento e risposta in una strategia coerente, potete consultare il nostro approccio globale ai servizi di cybersecurity per le aziende.
Domande chiave da porre prima di firmare il contratto
Una buona riunione commerciale in ambito cybersecurity dovrebbe mettere leggermente a disagio il fornitore: se tutte le risposte sono facili, non state facendo le domande giuste. Queste sono le domande che meglio rivelano la maturità reale di un candidato.
- Quali certificazioni avete in corso di validità e qual è il loro esatto campo di applicazione? Richiedete il certificato, la data dell'ultimo audit di sorveglianza e l'ente accreditato da ENAC che lo ha rilasciato.
- Com'è strutturato il vostro SOC e quali SLA di rilevamento e risposta firmate? Assicuratevi che gli impegni sui tempi siano scritti nel contratto, non solo nella proposta commerciale.
- Cosa accade esattamente quando rilevate un incidente grave fuori orario? Richiedete la procedura di escalation e chi prende le decisioni alle 3 di notte.
- Chi fa parte del team che seguirà il mio account e qual è il tasso di rotazione? La sicurezza la eseguono le persone; sapere chi sono e se rimangono è importante.
- Potete fornirmi una referenza verificabile di un cliente del mio settore? E poi contattatela davvero.
- Come mi aiutate a rispettare NIS2 e/o l'ENS nel mio caso specifico? Una risposta concreta dimostra che conoscono il vostro quadro regolamentare.
- Quali report riceverò, con quale frequenza e in quale formato? La visibilità continua è parte del servizio, non un extra.
- Cosa succede al termine del contratto con i miei dati, log e configurazioni? La portabilità e l'uscita ordinata devono essere concordate fin dall'inizio.
Se un fornitore risponde a queste otto domande con precisione e per iscritto, avete davanti a voi un candidato serio. Se risponde con generalità, argomenti di marketing o risposte evasive, avete già ottenuto un'informazione preziosa.
Segnali d'allarme: quando scartare un fornitore di cybersecurity
Sapere cosa cercare è altrettanto importante quanto sapere cosa deve farvi alzare e andare via. Questi sono i segnali d'allarme più affidabili che riscontriamo durante l'audit dei contratti di sicurezza.
- Certificazioni imprecise o scadute. "Siamo in fase di certificazione" ripetuto per anni, certificati senza audit di sorveglianza o sigilli di enti non accreditati da ENAC.
- Promesse di sicurezza totale. Nessun fornitore serio garantisce il 100% di protezione. Chi promette che "non subirete mai un attacco" non comprende il problema o vi sta ingannando.
- Assenza di SLA scritti. Se i tempi di rilevamento e risposta non compaiono nel contratto, non esistono. Le buone intenzioni non si possono far valere davanti a un giudice.
- Opacità sul team e sulla subappalto. Se non vogliono dirvi chi gestirà la vostra sicurezza né se esternalizzano il SOC a terzi, assumete il peggio.
- Il prezzo come unico argomento. In cybersecurity, il risparmio spesso significa monitoraggio automatizzato senza analisti dietro. Il vantaggio economico si dissolve al primo incidente reale.
- Assenza di referenze verificabili. Loghi sul sito web ma nessun cliente con cui possiate parlare. Il silenzio è una risposta.
- Ignoranza del quadro normativo. Un fornitore che non sa spiegarvi come lo riguardano NIS2 o l'ENS non sarà in grado di aiutarvi a rispettarli.
Ciascuno di questi segnali, preso singolarmente, giustifica una conversazione scomoda. Due o più insieme giustificano di scartare il candidato.
Conclusione: trasformate la scelta in un processo, non in un'intuizione
Con 122.223 incidenti gestiti dall'INCIBE nel 2025 e oltre 3.400 fornitori in competizione nel mercato spagnolo, scegliere un'azienda di cybersecurity non può dipendere da una buona riunione commerciale né dal prezzo più basso. La decisione corretta nasce da un metodo: filtrare per certificazioni verificabili (ISO 27001 e ENS tramite ENAC), valutare le capacità operative reali (SOC/MDR 24x7, esperienza settoriale e referenze riscontrate), allineare la maturità del fornitore con i vostri obblighi NIS2 ed ENS, e porre le domande che separano chi difende davvero da chi si limita a fatturare.
Se state avviando questo processo e volete una base di partenza, scaricate la nostra checklist di preparazione per ISO 27001: vi aiuterà a misurare la vostra maturità prima di esigerla a un terzo. E se preferite che vi accompagniamo nella valutazione, selezione o audit del vostro partner di sicurezza, parlate con il team di Technova Partners: vi aiuteremo a trasformare una decisione di rischio in una decisione informata.
